New Jersey
¿Qué es la NJDPA? Ley de Privacidad de Datos de Nueva Jersey

La Ley de Privacidad de Datos de Nueva Jersey (NJDPA) es la ley integral de privacidad de datos del consumidor de Nueva Jersey, codificada en N.J.S.A. 56:8-166.4 y siguientes. Fue promulgada como el Proyecto de Ley del Senado S332, firmado por el gobernador Phil Murphy el 16 de enero de 2024, y entró en vigor el 15 de enero de 2025. Otorga a los residentes de Nueva Jersey el derecho a acceder, corregir, eliminar y trasladar sus datos personales, y a optar por no participar en la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles.
A partir de 2026, la Fiscalía General de Nueva Jersey y la División de Asuntos del Consumidor hacen cumplir la ley bajo la Ley de Fraude al Consumidor de Nueva Jersey, con sanciones civiles de hasta $10,000 por la primera infracción y $20,000 por cada infracción subsiguiente. El derecho a corregir de 30 días en el que confían las empresas está programado para expirar aproximadamente 18 meses después de la fecha de vigencia, alrededor del 15 de julio de 2026, por lo que, a mediados de 2026, la ventana de corrección garantizada está en sus últimas semanas.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos de Nueva Jersey (N.J.S.A. 56:8-166.4 y siguientes). Es información legal general, no asesoría legal.
Qué es la NJDPA: estatuto, promulgación y fecha de vigencia
La Ley de Privacidad de Datos de Nueva Jersey es la primera ley integral de privacidad de datos del consumidor del estado. Está codificada en el Título 56 de los Estatutos de Nueva Jersey, que abarca desde N.J.S.A. 56:8-166.4 hasta 56:8-166.19. Las definiciones que rigen el resto de la ley se encuentran en N.J.S.A. 56:8-166.4.
La ley fue promulgada como el Proyecto de Ley del Senado S332 y firmada por el gobernador Phil Murphy el 16 de enero de 2024, convirtiéndose en la P.L. 2023, c. 266. Luego entró en vigor el 15 de enero de 2025, dando a las empresas cubiertas aproximadamente un año para desarrollar programas de cumplimiento antes de que comenzaran sus obligaciones.
A partir de 2026, la NJDPA está plenamente en vigor. Todo responsable del tratamiento que cumpla con los umbrales de aplicabilidad en N.J.S.A. 56:8-166.5 debe atender las solicitudes de derechos del consumidor, respetar las señales de exclusión voluntaria, obtener consentimiento antes de procesar datos sensibles y mantener un aviso de privacidad conforme. Para conocer el conjunto completo de obligaciones de los responsables y encargados del tratamiento, consulte la página principal de las leyes de privacidad de datos de Nueva Jersey.
A quién cubre la NJDPA: los umbrales de 100,000 y 25,000
La prueba de aplicabilidad se encuentra en N.J.S.A. 56:8-166.5. La ley se aplica a cualquier responsable del tratamiento que realiza negocios en Nueva Jersey, o que produce productos o servicios dirigidos a residentes de Nueva Jersey, y que durante un año calendario cumplió con cualquiera de dos umbrales de datos.
El primer desencadenante es controlar o procesar los datos personales de al menos 100,000 consumidores, excluyendo los datos personales procesados únicamente con el fin de completar una transacción de pago. Esa exclusión de pagos significa que un comerciante no cuenta los datos rutinarios de finalización de transacciones para la cifra de 100,000.
El segundo desencadenante es controlar o procesar los datos personales de al menos 25,000 consumidores mientras el responsable del tratamiento obtiene ingresos, o recibe un descuento en el precio de cualquier bien o servicio, a partir de la venta de datos personales. El "consumidor" de Nueva Jersey conforme a N.J.S.A. 56:8-166.4 es un residente que actúa en un contexto individual o doméstico, no en un contexto comercial o laboral, por lo que los datos de empleados y entre empresas generalmente no cuentan.

El desencadenante de ingresos o descuento sin piso de porcentaje
El segundo elemento de aplicabilidad es una de las características más distintivas de la NJDPA. Muchas leyes estatales de privacidad establecen su desencadenante de menor número de consumidores en una proporción fija de ingresos, a menudo el 25 por ciento o el 50 por ciento derivado de la venta de datos personales. Nueva Jersey no lo hace.
Conforme a N.J.S.A. 56:8-166.5, un responsable del tratamiento con 25,000 consumidores queda cubierto si obtiene cualquier ingreso, por mínimo que sea, de la venta de datos personales, o incluso si simplemente recibe un descuento en el precio de bienes o servicios a cambio de esos datos. No existe un piso de porcentaje de ingresos que superar.
Esto amplía considerablemente la red de cobertura. Una empresa que vende una cantidad modesta de datos, o que intercambia datos por servicios con descuento de un proveedor, puede quedar cubierta con 25,000 consumidores, aunque esa misma empresa escaparía de una ley que exigiera que la venta de datos representara una proporción significativa de sus ingresos. Las empresas deben tratar cualquier venta de datos o acuerdo de datos por descuento como potencialmente desencadenante, no solo un modelo de negocio basado en datos.
La información financiera como dato sensible: un requisito de consentimiento previo
Los datos sensibles ocupan un lugar central en la NJDPA porque su procesamiento requiere consentimiento previo (opt-in). La definición en N.J.S.A. 56:8-166.4 es amplia, y una inclusión distingue a Nueva Jersey de la mayoría de los demás estados.
Nueva Jersey trata la información financiera como un dato sensible. La definición abarca el número de cuenta de un consumidor, sus credenciales de acceso a la cuenta, su cuenta financiera, o su número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a la cuenta financiera del consumidor. La mayoría de las leyes estatales de privacidad no clasifican en absoluto la información financiera como sensible, por lo que esta es una expansión significativa del requisito de consentimiento.
La definición también abarca los datos que revelen el origen racial o étnico, las creencias religiosas, la condición, tratamiento o diagnóstico de salud mental o física, la vida sexual o la orientación sexual, el estatus de ciudadanía o migratorio, el estatus de persona transgénero o no binaria, los datos genéticos o biométricos procesados para identificar a una persona, los datos personales recopilados de un menor identificado como tal y los datos precisos de geolocalización. La inclusión expresa del estatus de persona transgénero o no binaria, junto con la información financiera, hace que la categoría de datos sensibles de Nueva Jersey sea una de las más amplias del país.
Proceso de reglamentación activo por parte de la División de Asuntos del Consumidor
Una segunda característica distintiva es que la NJDPA ordena un proceso de reglamentación administrativa activo. La mayoría de las leyes estatales de privacidad se hacen cumplir en gran medida tal como están escritas, con poco o ningún desarrollo regulatorio formal. Nueva Jersey tomó un camino diferente.
La Ley instruye al Director de la División de Asuntos del Consumidor, dentro del Departamento de Derecho y Seguridad Pública, a adoptar reglas y reglamentos para implementar la ley. El 2 de junio de 2025, la División publicó regulaciones de privacidad propuestas, abriendo un período de comentarios que se extendió hasta el 1 de agosto de 2025. Las reglas propuestas abordan áreas que el estatuto deja de manera general, incluyendo requisitos detallados de aviso de privacidad, restricciones sobre patrones de diseño engañosos, simetría en las opciones de consentimiento y límites sobre el uso de datos personales para entrenar inteligencia artificial sin consentimiento.
Debido a que las reglas pueden agregar detalles más allá del estatuto, las empresas cubiertas no pueden tratar el texto legal como la última palabra. La capa regulatoria forma parte del panorama de cumplimiento, y la lista de verificación de cumplimiento de la NJDPA explica cómo rastrearla.

Protecciones para adolescentes de 13 a 16 años
Nueva Jersey agrega una protección distinta para adolescentes que va más allá de los marcos de privacidad infantil más antiguos. Conforme a la Ley, cuando un responsable del tratamiento sabe que un consumidor tiene al menos 13 años y es menor de 17 años, debe obtener consentimiento antes de procesar los datos personales de ese consumidor para publicidad dirigida, la venta de datos personales o la elaboración de perfiles.
Este requisito de consentimiento cubre el rango de edad de 13 a 16 años que la Ley Federal de Protección de la Privacidad en Línea de los Niños, que se enfoca en los menores de 13 años, no alcanza. Para los adolescentes en ese rango, la exclusión voluntaria no es suficiente: el responsable del tratamiento necesita consentimiento afirmativo para esas tres actividades de procesamiento de alto impacto.
La regla de consentimiento para adolescentes opera junto con las protecciones de datos de menores. Los datos personales recopilados de un menor de 13 años identificado como tal son en sí mismos datos sensibles conforme a N.J.S.A. 56:8-166.4, por lo que su procesamiento ya requiere consentimiento.
NJDPA frente a CCPA: las diferencias clave
Las empresas que operan a nivel nacional suelen comparar la NJDPA de Nueva Jersey con la ley de California. La página de comparación de leyes estatales de privacidad de datos cubre el panorama multiestatal más amplio, pero destacan varias diferencias con la CCPA de California.
| Característica | NJDPA de Nueva Jersey | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | 100,000 consumidores, o 25,000 más cualquier ingreso o descuento de la venta de datos; sin piso de monto o porcentaje | $25M de ingresos, 100,000 consumidores, o el 50% de los ingresos provenientes de la venta de datos |
| Desencadenante de nivel inferior | Cualquier ingreso o descuento de la venta de datos (sin piso de porcentaje) | 50% de los ingresos provenientes de la venta o el intercambio de datos |
| Información financiera | Tratada como dato sensible; consentimiento previo (N.J.S.A. 56:8-166.4) | No clasificada como sensible; derecho de exclusión voluntaria para limitar |
| Modelo de datos sensibles | Se requiere consentimiento previo antes del procesamiento | Derecho a limitar el uso; modelo de exclusión voluntaria |
| Reglamentación | Reglas activas de la División de Asuntos del Consumidor (propuestas el 2 de junio de 2025) | Regulaciones detalladas de la CPPA |
| Derecho de acción privado | Ninguno | Limitado, para ciertas violaciones de datos |
La diferencia más importante es el desencadenante de nivel inferior. El umbral de 25,000 consumidores de Nueva Jersey, sin piso de porcentaje de ingresos, alcanza a empresas que la prueba del 50 por ciento de California dejaría fuera. Nueva Jersey también trata la información financiera como sensible y exige consentimiento previo para los datos sensibles, mientras que California utiliza un derecho de exclusión voluntaria para limitar su uso. Ambos estados canalizan la aplicación a través de reguladores estatales, y ni la NJDPA ni la CCPA otorgan a los consumidores un derecho de acción privado general por infracciones de privacidad.
More New Jersey Laws
- New Jersey AI Meeting Recording Laws
- New Jersey Alimony Laws
- New Jersey At-Will Employment Laws
- New Jersey Car Accident Laws
- New Jersey Child Custody Laws
- New Jersey Child Support Laws
- New Jersey Common Law Marriage Laws
- New Jersey Deepfake Laws
- New Jersey Divorce Laws
- New Jersey Dog Bite Laws
- New Jersey Emancipation Laws
- New Jersey Expungement Laws
- New Jersey Hit and Run Laws
- New Jersey Landlord-Tenant Laws
- New Jersey Lemon Laws
- New Jersey Power of Attorney Laws
Guías relacionadas
Preguntas frecuentes
¿Qué es la NJDPA?
La NJDPA, o Ley de Privacidad de Datos de Nueva Jersey, es la ley integral de privacidad de datos del consumidor de Nueva Jersey, codificada en N.J.S.A. 56:8-166.4 y siguientes. Fue promulgada como el Proyecto de Ley del Senado S332, firmado por el gobernador Phil Murphy el 16 de enero de 2024, y entró en vigor el 15 de enero de 2025. Otorga a los residentes de Nueva Jersey derechos sobre sus datos personales y exige que los responsables del tratamiento cubiertos sean transparentes sobre cómo los recopilan, usan y divulgan.
¿Cuándo entró en vigor la NJDPA?
La NJDPA entró en vigor el 15 de enero de 2025. Un responsable del tratamiento debe reconocer un mecanismo universal de exclusión voluntaria, como Global Privacy Control, a más tardar seis meses después de esa fecha, es decir, aproximadamente el 15 de julio de 2025. El derecho a corregir de 30 días está programado para expirar aproximadamente 18 meses después de la fecha de vigencia, alrededor del 15 de julio de 2026.
¿Cuáles son los umbrales de cobertura de la NJDPA?
Conforme a N.J.S.A. 56:8-166.5, la NJDPA cubre a cualquier responsable del tratamiento que realiza negocios en Nueva Jersey o se dirige a residentes de Nueva Jersey y que, durante un año calendario, controló o procesó los datos personales de al menos 100,000 consumidores (excluyendo los datos utilizados únicamente para completar una transacción de pago), o de al menos 25,000 consumidores mientras obtiene algún ingreso, o un descuento en bienes o servicios, a partir de la venta de datos personales. El segundo desencadenante no tiene un piso de porcentaje de ingresos.
¿La NJDPA trata la información financiera como dato sensible?
Sí. Conforme a N.J.S.A. 56:8-166.4, los datos sensibles incluyen la información financiera, definida como el número de cuenta de un consumidor, sus credenciales de acceso a la cuenta, su cuenta financiera, o su número de tarjeta de crédito o débito en combinación con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a la cuenta financiera. La mayoría de las leyes estatales de privacidad no clasifican la información financiera como sensible, por lo que esta es una característica distintiva, y el procesamiento de datos sensibles requiere consentimiento previo (opt-in).
¿Qué se considera dato sensible bajo la NJDPA?
Conforme a N.J.S.A. 56:8-166.4, los datos sensibles incluyen los datos que revelen el origen racial o étnico, las creencias religiosas, la condición, tratamiento o diagnóstico de salud mental o física, la información financiera, la vida sexual o la orientación sexual, el estatus de ciudadanía o migratorio, el estatus de persona transgénero o no binaria, los datos genéticos o biométricos, los datos personales recopilados de un menor identificado como tal y los datos precisos de geolocalización. El procesamiento de cualquier dato sensible requiere el consentimiento previo (opt-in) del consumidor.
¿La NJDPA exige reconocer una señal universal de exclusión voluntaria?
Sí. La NJDPA exige que los responsables del tratamiento reconozcan un mecanismo universal de exclusión voluntaria, como Global Privacy Control, que permite a los consumidores optar por no participar en la publicidad dirigida y la venta de sus datos personales a través de una configuración del navegador o del dispositivo. Esa obligación entró en vigor a más tardar seis meses después de la fecha de vigencia de la ley, es decir, aproximadamente el 15 de julio de 2025.
¿En qué se diferencia la NJDPA de la CCPA?
Diferencias clave: el desencadenante de nivel inferior de Nueva Jersey, de 25,000 consumidores, solo requiere cualquier ingreso o un descuento de la venta de datos, sin piso de porcentaje, mientras que el desencadenante inferior de California requiere obtener el 50 por ciento de los ingresos de la venta o el intercambio de datos; Nueva Jersey trata la información financiera como un dato sensible sujeto a consentimiento previo, mientras que California no la clasifica como sensible; y Nueva Jersey utiliza un modelo de consentimiento previo para los datos sensibles, mientras que California utiliza un derecho de exclusión voluntaria para limitar su uso. Ninguna de las dos leyes otorga a los consumidores un derecho de acción privado general.
¿Quién hace cumplir la NJDPA?
La Fiscalía General de Nueva Jersey y la División de Asuntos del Consumidor hacen cumplir la NJDPA bajo la Ley de Fraude al Consumidor de Nueva Jersey. No existe un derecho de acción privado. Una infracción puede conllevar sanciones civiles de hasta $10,000 por la primera infracción y $20,000 por cada infracción subsiguiente. Se aplica un derecho a corregir de 30 días, pero está programado para expirar aproximadamente 18 meses después de la fecha de vigencia, alrededor del 15 de julio de 2026.
Fuentes y referencias
- N.J.S.A. 56:8-166.4: Definiciones (Datos Sensibles, Información Financiera)(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.5: Aplicabilidad y Umbrales(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.6: Aviso de Privacidad y Ejercicio de los Derechos del Consumidor(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.19: Autoridad y Aplicación(pub.njleg.state.nj.us).gov
- Legislatura de Nueva Jersey: Página del Proyecto de Ley S332 (Sesión 2022-2023)(njleg.state.nj.us).gov
- División de Asuntos del Consumidor de Nueva Jersey(njconsumeraffairs.gov).gov
- NJCCIC: Nueva Jersey Promulga una Ley Integral de Privacidad de Datos(cyber.nj.gov).gov